成在人

Vol.36No.5

May2019

第36卷第5期

2019年5月

计算机应用与软件

ComputerApplicationsandSoftware

对抗样本生成在人脸识别中的研究与应用

张加胜刘建明韩磊纪飞刘煌

(桂林电子科技大学计算机与信息安全学院广西桂林541000)

摘要随着深度学习模型在人脸识别、无人驾驶等安全敏感性任务中的广泛应用，围绕深度学习模型展开的

攻防逐渐成为机器学习和安全领域研究的热点。黑盒攻击作为典型的攻击类型，在不知模型具体结构、参数、使

用的数据集等情况下仍能进行有效攻击

，是真实背景下最常用的攻击方法。随着社会对人脸识别技术的依赖越

来越强，在安全性髙的场合里部署神经网络,往往容易忽略其脆弱性带来的安全威胁。充分分析深度学习模型存

在的脆弱性并运用生成对抗网络，设计一种新颖的光亮眼镜贴片样本

，能够成功欺骗基于卷积神经网络的人脸识

别系统。实验结果表明，基于生成对抗网络生成的对抗眼镜贴片样本能够成功攻击人脸识别系统，性能优于传统

的优化方法。

关键词深度学习黑盒攻击脆弱性生成对抗网络眼镜贴片

中图分类号TP181文献标识码ADOI：10.3969/.1000-386x.2019.05.027

RESEARCHANDAPPLICATIONOFADVERSARIALSAMPLEGENERATION

INFACIALRECOGNITION

ZhangJiashengLiuJianming

HanLeiJiFeiLiuHuang

(School

ofComputerScienceand

InformationSecurity,GuilinUniversityofElectronicTechnology,Guilin541000,Guangxi,China)

AbstractDeeplearning(DL)modelshavebeenwidelyappliedintocurity-nsitivity

tasks,suchasfacial

recognition,

automated

driving,sanddefensassociatedwiththeDLhavegradually

become

hot

spotsinthe

fieldofmachinelearning

blackboxattack,asatypicalattacktypeandthemostcommonattack

methodintherealcontext,canstillperformeffectiveattackswithoutknowingthespecific

structureandparametersofthe

model,e

increasing

dependenceonfacialrecognitiontechnology,itiasytoignorethe

curitythreats

caudbyitsvulnerabilitywhendeployingneural

perfully

analyzedthevulnerabilityofthe

deeplearningmodelandudthe

generatedadversarial

network(GAN)

todesigna

novelbrightglasspatchsample,whichcouldsuccessfullydeceive

thefacialrecognitionsystembadonconvolutional

erimentalresultsshow

thattheadversarialeyeglasspatchesgeneratedbyGAN

cansuccessfully

attackthefacerecognition

system,and

theperformanceisbetterthanthetraditionaloptimizationmethods.

KeywordsDeeplearningBlack・BoxattackVulnerabilityGenerativeadversarialnetwork(

GAN

)Eyeglasspatches

(DeepNeuralNetwork)在人脸识另I」，

交通标识识另lJ,安

0弓I言防监控等安全敏感性任务中得到了广泛的应用“切。

然而Szegedy等首次揭示了深度神经网络脆弱性的存

随着深度学习技术的发展，深度神经网络DNN在，极易受到对抗性样本的影响，即通过对原始输入样

收稿日期：2018-11-21。张加胜，硕士生,主研领域：机器学习，模式识别。刘建明.教授。韩磊，硕士生。纪飞，硕士生。刘

煌，硕士生。

第5期

张加胜等：对抗样本生成在人脸识别中的研究与应用

159

本进行不可察觉的微小的扰动，可以使深度神经网络

以较高的置信度错误分类!问。进而,Goodfellow解释

了对抗样本存在的根本原因，深度模型高度线性的本

质（⑷，并提岀了相关对抗样本生成策略，如FGSMi,3

I-fgsm[5].rand+fgsm[7]等,通过在熊猫的图片中

加入微小的扰动向量.在人眼不易察觉的情况下成功

使神经网络以高置信度分类为长臂猿

。然而这些攻击

算法的设计都需要攻击者对目标系统的体系结构或训

练参数有充分的了解（白盒）。由于在现实世界中很

难获取到目标系统的内部信息，对于攻击者来说，目标

系统完全就是一个黑盒。先前的研究表明，

不同学习

模型之间存在着迁移性

[8-9JI],也就是说，采用不同攻

击算法生成的攻击样本能够使多个模型同时错误分

类。这一属性为攻击者在未知目标系统内部信息情景

下能够实现黑盒攻击奠定了基础。那么，

现实世界中

基于深度学习的黑盒系统的安全性受到了一定威

胁⑷，例如，在人脸识别系统中，攻击者通过对人脸图

像做精心设计的改动，使系统误认为是攻击者想要的

身份,从而侵入系统导致安全威胁;对于无人驾驶系统

而言，稍微修改“STOP”标识图像使得深度神经网络错

误识别为其他标识而不及时停车，将造成安全事故;再

比如在安防监控系统中，攻击者往往通过化妆、装饰物

（包括眼镜、假发、首饰等）进行伪装迷惑监控系统，

从

而混入非法分子。所以，研究对抗样本的生成过程，分

析基于深度学习的系统存在的安全漏洞，这将有助于

设计更加安全有效的防御机制。

对于人脸识别系统,攻击者往往利用合法用户的

照片，通过添加微小的、不可察觉的扰动试图入侵系

统，如图1所示。然而目前大部分人脸识别系统都针

对此类攻击设计了相应的防御机制，来抵御微小扰动

的干扰，例如通过对抗性训练新的网络，MagNet等检

测器的设计"⑷o对于攻击者而言，唯有增加扰动量

却极易被系统检测出对抗样本的可能性。进而，相关

研究者提岀了高亮贴片的概念[12'，5],这类贴片样本摆

脱了以往的束缚，即不要求生成的样本在人眼看来仍

然是原来的图片，贴片样本示例如图2所示。攻击者

通过打印生成的对抗贴片样本贴在交通标识牌、眼镜

框等显眼位置，不仅不会引起警觉，同样可以欺骗深度

学习系统。基于该思想,本文通过生成对抗网络原理

设计出一种新颖的对抗眼镜贴片样本,并且可以应用

于任何真实场景中，从而揭示了现实世界中深度学习

模型的脆弱性依然存在。

图1对抗扰动

图

2对抗贴片样本

1相关工作

1.1黑盒攻击

在现实世界中，由于攻击者很难获取到目标模型

（即攻击对象）的内部结构信息,包括训练数据、模型

体系结构以及训练参数等。那么，对于攻击者而言，目

标系统完全就是一个黑盒，攻击者只能通过原始的输

入获得对应的反馈结果。这种情况下,攻击者就很难

设计出具有很强攻击性的对抗样本。然而，先前的研

究表明，不同的深度学习模型之间存在着迁移性，

这为

攻击者间接地去实现同样的攻击效果提供了基础。比

如，攻击者可以根据已知任务去训练一个替代模型，此

时的替代模型对于攻击者而言即为白盒，进而一系列

的攻击策略可以设计去生成对抗样本，然后利用模型

迁移性的性质，将生成的对抗样本应用于未知模型的

黑盒系统。

假设Xe/?"表示D维的特征空间，丫=iy',/,

…,y鋼表示c个不同标签的标签集合。给定合成数据

集data=｛（如，久）11,x,eX表示第i个训练

样本,y,w丫表示第i个样本查询目标模型的反馈标

160

计算机应用与软件

2019年

记。黑盒攻击的过程是从亦加学习一个替代模型

F&)，然后选用某种攻击算法为该模型生成攻击样本

x-,即通过最优化以下目标损失函数使得神经网络模

型以最大概率错误分类为目标标签y,:

Loss=max{F(x*1%+r)r：y#y(|-F(%*l%+r)*(

1)

式中:r表示添加到原始输入样本的微小的扰动向量。

然后将该样本迁移到目标模型0(%)，使目标模型

也错误分类，即0(x)#0(x-)o详细攻击流程如图3

本文着重探讨深度学习模型的脆弱性，那么替代

模型也可选择深层模型，即n个带参函数的分

层组合，来模拟高维输入％,定义如下：

F(x)=/”(仿,/”-1

(0”一|,・・・忆(02,/|(0|,%))))(2)

1.2生成对抗网络

生成对抗网络GAN是一种深度学习模型，主要由

生成器(Generator)和判别器(Discriminator)两个模块

构成。

其中生成器的作用是尽可能地学习真实的数据

分布，输入变量z,则G尽可能地生成服从真实数据分

布的样本G(z)。判别器的作用是判别其输入数据是

来自生成器G,还是来自真实的数据■如果输入来自

G(z)，则标注为0,并判别为伪，否则标注为1，并判别

为真。这里生成器G的目标是使其生成的伪数据

G(z)在判别器D上的表现和真实数据％在D上的表

现一致。G和D互相博弈学习并迭代优化的过程使得

它们的性能不断提升，随着D的判别能力提升，并且

无法判别其数据来源时,就认为G已学到真实的数据

分布，如图4所示。

在实际应用中一般均使用深度神

经网络作为G和D,—个较好的生成式对抗网络

(GAN)应用需要有良好的训练方法，否则可能由于神

经网络模型的自由行而导致输出不理想。

图4生成对抗网络框架图

GAN的训练需迭代进行，通过反向传播更新G和

D的参数。G的训练通过最小化以下目标函数

：

厶ossc(Z,D)=》lg(l-D(G(z)))(3)

zeZ

当G误导D(即当D(G(z))取值为1)，该损失达

到最小值。D的训练通过最大化以下目标函数：

Gain

D{G,)=丫lg(D(x))

+

xedata

》lg(l-D(G(z)))(4)

zeZ

当D对真实样本发岀1时,Gai®最大化，否则为

0o目前已经提出了几种GAN体系结构和训练过程来

训练GAN,本文主要以WasrsteinGAN为主。

2基于GAN对抗样本生成策略

本节主要描述提出的基于GAN的对抗样本生成

策略以迷惑深度神经网络。第一部分明确了我们的威

胁模型，第二部分详细描述攻击框架的设计。

2.1威胁模型

假设一个攻击者能够成功侵入一个已经训练好的

人脸识别系统来发动攻击。由于攻击者不能通过注入

错误标记的数据或修改训练数据来危害人脸识别系统

的参数。因此，只能通过改变输入以紊乱深度神经网

络的分类。

攻击者的目标是通过不易察觉地伪装自己并呈现

在人脸识别系统前，然后被错误地归类为除了自己以

外的人。考虑这种攻击的两种变体,在定向攻击中，攻

击者试图使人脸识别系统错误分类为特定的其他人；

在非定向攻击时,攻击者试图使人脸识别系统错误分

类为任意其他人,不用特定到某个人。通常假设攻击

者在白盒场景下运行。也就是说，

攻击者知道特征空

间(RGB图像表示，这在DNN图像分类中是常用的)

以及被攻击系统的内部(体系结构和参数)。在白盒

假设条件下研究DNN的脆弱性是本文的重点。此外，

黑盒攻击可以使用本地替代模型进行白盒攻击，然后

将其转移到黑盒中。

2.2攻击框架

除了少数几种攻击方法以外，在传统深度神经网

络逃避攻击中，攻击者直接改变正常输入样本来最大

化或最小化一个预先定义的函数与预期的错误分类相

关的函数。与以往的攻击不同，本文提出了通过训练

神经网络来产生可用于达到预期目的的输出。也就是

说,与其反复调整正常样本输入，使之成为对抗性样

本,不如尝试迭代更新深度神经网络的权值来调整将

产生导致错误分类的输出。

更具体地说,本文通过训练生成对抗神经网络来

第5期

张加胜等：对抗样本生成在人脸识别中的研究与应用

161

生成眼镜的贴片并可以打印贴在眼镜镜框上，当攻击

者佩戴时，不易被察觉，却能使人脸识别系统紊乱，产

生定向或非定向的攻击效果。为了达到不显眼的攻击

效果，我们要求这些神经网络产生的眼镜图片与真实

的眼镜设计相似。写传统的GAN训练类似，不同于

GAN的是，还需要产生对抗性的输出(即包含眼镜的

人脸图像)，能够误导用于人脸识别的神经网络模型。

所以,本文提出的方法需要训练三个深度神经网

络:一个生成器G、一个判别器D和一个预训练的分类

函数为F(-)0当输入％到DNN时，通过最小化G来

生成不引人注目的对抗输岀，能够迷惑F(•),优化目

标如下：

Lossc(Z,D)-k•2厶oss”(％+G(z))(5)

其中损失函数Loss.同式：1)定义，通过最小化该损失

的目的是希望生成器生成真实的不显眼的眼镜图像输

出，能够误导判别器D,使判别器认为生成的眼镜图像

即为真实图像。是在DNN的分类中定义的损失

函数,在训练G过程中，通过最大化该损失，从而使得

生成的眼镜图像付在人脸图像之上能够成功欺骗深度

神经网络F。Loss”的定义又分为两类,分别针对定向

和非定向而言。对于非定向攻击而言,ioss”损失定义

如下：

Lossr(x+G(z)

)=工F,..(x+G(z))-

l#X

F“(x+G(z))(6)

通过最大化Loss"样本％被DNN识别成真实标

签人的概率大大降低，使识别成其他标签的概率增

加，从而实现非定向攻击的效果。对于定向攻击而言,

Loss”损失定义如下：

Loss/,(x+G(z))=Fy(x+G(z))—

YF

”(”+G(z))(7)

i^t

通过最大化Loss,,样本％被DNN识别成攻击者

指定的目标标签y,的概率会增加。

判别器D的训练作为训练过程的一部分，目标使

式(4)中定义的收益Gain,最大化。通过调整判别器

D的权重进而激励生成器G生成更真实的实例，两者

相互博弈，实现互利共赢。与D和G相反,F(•)的权

重在训练过程中是不需要改变(因为希望在测试阶

段，生成的对抗输岀能够成功欺骗相同的DMV)。整

个训练过程如算法1所示。

算法1基于GAN对抗眼镜贴片样本生成过程

输入:X,G,D,F(・),data,Z,Ne,Sb,KW10,11

输出：对抗输出G

1:e^-0；

2:foreinrange(1,/Ve)

3:按照大小sh分块data获得mini-batches

4:forbatchinmini-batches:

5：

z—从Z中抽样》个样本；

6：gen—G(z)；

7:batch—合并(gen,batch)

8:ifeveniteration:〃

更新生成器D

9：通过反向传播求dGainD

/dbatch更新D

;

10：elifF(・)错误输出：

11:return；

12:----dGain[)/dgen；

13：兀—从X中抽样H个样本；

14:x^—x

+gen；

15:d2<------dLosSp/dgen；

16:d}J■归一化

(£,〃2)

17:d^—K•

必+(

1-k)•d2;

18：通过反向传播求d更新G

19:endfor

该算法以一组正常样本X作为输入，一个预初始

化的生成器和鉴别器，一个用于人脸识别的神经网络，

实际示例的数据集(生成器的输出应该类似于这些数

据集；在我们的例子中这是一个眼镜的数据集)，一个

可以从G的潜在空间(Z)中采样的函数，最大训练周

期(他)，mini-batches的大小％,和k(0和1之间的

值)。这个训练过程的结果是一个对抗的生成器，它

创建输出(即眼镜图像)以迷惑用于人脸识别的深度

神经网络F(•

)□在每次训练迭代中，。或G都使用

随机选择的数据子集进行更新。D的权值通过梯度上

升来更新，以增加增益。相反,G的权值通过梯度下降

来更新，使式(3)定义的损失值最小化。为了平衡生

成器的两个目标,分别将CainD和Loss,的导数进行结

合,通过对这两个导数进行归一化得到这两个值的欧

几里德范数(算法中第16行)。

然后通过设置k来控制这两个目标中的哪一个该

获得更多的权重(算法中的第17行)。当k接近零的

时候，会有更多的权重用以迷惑F(•),分配更少的

权重使G的输出更真实。相反，当k接近一个1时，会

分配更大的权重使G的输出类似于真实的例子。当达

到最大训练周期时，训练结束，或者当F(•)被迷惑

时，即定向或非定向攻击已完成。

3实验

为了验证上述对抗样本生成策略的有效性，在收

集的眼镜数据集上进行了对抗眼镜样本的合成，并在

经典的人脸识别模型OpenFace,VGG上验证了提出的

方法的攻击性能。需要如下准备：(1)收集训练中使

162

计算机应用与软件2019年

用的真实眼镜数据集；（2）选择生成器和鉴别器的架

构,实例化它们的权值；（3）训练可用于评估攻击的

DNNs；（4）设定攻击的参数。

3.1数据集采集

一个真实的眼镜框架设计数据集是必要的，以训

练生成器创建真实的攻击。我们使用谷歌搜索的搜索

“眼镜”及其同义词（如“眼镜”、“护目镜”），有时使用

形容词修饰，我们使用的形容词主要包括颜色（如“棕

色”、

“蓝色”）、趋势（如“极客”、“龟甲”）和品牌（如

“拉夫•劳伦”、“普拉达”）。总共做了430个独特的

API查询，收集了26520张图片。

收集的图像不仅仅是眼镜；我们还发现了杯子、

花瓶和眼镜品牌的标识阻碍了训练过程;此外,这些图

像还包括模特佩戴的眼镜和深色背景下的眼镜图像。

我们发现这些图像很难用生成网络进行建模。因此，

我们训练了一个分类器来帮助我们检测和保存在白色

背景下的眼镜图像,从而不包括模特们佩戴时的图像。

使用250张手工标记的图片，训练了一个分类器，并将

其调整为100%的精确度和65%的召回率。在对数据

集中的所有图像进行应用后，仍有8340幅眼镜图像，

手动检查这些图片并没有发现假阳性的一个子集。

使用这个数据集的原始图像，可以训练一个能发

出不同图案、形状和方向的眼镜的生成器。不幸的是，

形状和方向的变化使得这种眼镜在运行算法1时难以

有效和合理地对准人脸图像。因此对数据集中的图像

进行预处理，并将模式从它们的帧转移到一个固定的

形状，可以很容易地对齐到人脸图像。我们使用的形

状的剪影如图5所示，

然后我们训练生成器生成这种

形状的眼镜的图像，但是它们有不同的颜色和质地。

将眼镜的颜色和纹理转换成固定的形状，对图像进行

了识别，以检测帧的区域。然后使用纹理合成技术将

框架的纹理合成到固定形状上，图6显示了纹理合成

结果的示例。

3.2实验设置与结果分析

3.2.1预训练生成器与判别器

当训练GANs时，我们希望生成器构造出清晰的、

真实的、多样的图像。只发射一小组图像表明生成器

的功能不能很好地接近底层数据分布。为了实现这些

目标,也为了能够进行有效的训练，我们选择了深度卷

积生成对抗网络DCGAN（DeepConvolutional

GAN）,—-

个具有少量参数的极简主义架构。然后探索了发生器

潜在空间的各种可能性，输出维度，以及G和D中的

权重数（通过调整过滤器的深度）。最终发现一个潜

在的空间[-1；1]25,（即二十五维25-dimensional向

量之间的实数-1和1）,和输出的包含64x176像素

的图像可产生最好看、最多样化的效果。

为了确保攻击能够迅速融合，将G和D初始化到

一个状态，在这个状态中,生成器才能够有效生成真实

的眼镜图像。为此选择了200次迭代进行预训练，

并

存储它们以初始化以后的运行。此外,本文还借鉴了

Salimans提出的基于软标签来训练生成器。图7和图

8展示了在训练结束时生成器器生成的眼镜图像。

图7对抗眼镜图像

图8原始人脸图像（左）与对抗人脸图像（右）

图5眼镜生成轮廓

or:;oct

图6原始眼镜图像（左）与合成眼镜图像（右）

3.2.2人脸识别模型

本文评估了对两个体系结构中的DNNS的攻击。

一个神经网络是建立在超分辨率测试序列（VGG）神

经网络上M。最初的VGGDNN在人面数据库

（LFW）基准测试中，在被标记的面孔上显示了最先进

的结果，以98.95%的准确率进行面部验证〔闵。

另外

一个DNN是在OpenFace神经网络上构建的，它使用

了谷歌FaceNet体系结构何。OpenFace的主要设计

考虑是提供高精度DNN,低训练和预测时间，使DNN

可以部署在移动设备和物联网设备上。

VGG网络训练：原始的VGG网络需要一个224x

第5期

张加胜等：对抗样本生成在人脸识别中的研究与应用

163

224像素对齐的脸部图像用以输入，并产生了一个具

有高度鉴别性的4096维的面部描述符(即用矢量表

示法展示脸部图像)。在欧几里德空间中，两个描述

•同一人的图像的描述符比两个描述不同人的图像的描

述符更接近。使用描述符来训练两个简单的神经网

络，将图幅面积描述符映射到身份集合上的概率提高。

如此,原来的VGG网络就有效地充当了特征提取器的

角色。

OpenFace网络训练:原始的OpenFace网络需要一

个96x96像素对齐的脸部图像作为输入和输出128

维的描述符。与VGG网络相似，同一个人的图像描述

符在欧几里得空间中接近，而不同人物形象的描述符

却相差甚远。与VGG相反,OpenFace的描述符位于

一个单位球面上。首先尝试训练神经网络，使用与

VGGDNNs相似的架构将OpenFace描述符映射到身

份数据集,找到了这些神经网络来得到有竞争力的精

确度。然而，与VGG

DNNs类似,它们也很容易受到闪

避的攻击。与VGGDNNs不同，简单的数据增加并不

能提高DNNs的稳健性。我们认为这可能是由于使用

线性分隔符对球面数据进行分类的局限性。

3.2.3结果分析

为了评估提出的攻击策略的攻击性能，随机为

VGG和OpenFace选取10个攻击者。对于每个攻击者

和DNN的组合，使用攻击者的单个人脸图像来创建定

向或非定向攻击。在非定向攻击中，目标是随机选择

的。为了避免评估成功率的不确定性,本文使用攻击

者的三个不同的图像重复每一次攻击。表1描述了模

型的测试准确率以及被攻击时的平均成功率和标准误

差。

实验结果表示基于GAN生成的眼镜贴片成功攻

击了用于人脸识别的VGG和OpenFace模型。对于非

定向而言更具挑战性,成功率有所降低。

表1人脸识别模型性能

DNN模型

受试

者数

测试

准确率

定向攻击

成功率

非定向攻击

成功率

VGG10

98.9%97.5%

±0.2%100%土0.0%

OpenFace10

99.2%

96.3%±0.3%100%±0.1%

然后进一步探讨了生成的攻击样本的迁移性，即

在黑盒攻击场景中，提出的基于GAN的对抗眼镜贴片

的有效性,实验结果如表2所示。实验结果表明提出

的饿攻击策略在黑盒攻击领域仍获得了不错的攻击效

果。另外,还发现OpenFace体系结构的攻击仅在有限次

的尝试中就成功地愚弄了VGG体系结构(10%~12%)。

相比之下

，在63.33%的尝试中，成功攻击VGG的同

时也成功攻击了OpenFace。

表2黑盒攻击性能

DNN模型VGG

OpenFace

VGG

-

63.33%

OpenFace10.00%

-

4结语

本文旨在探索深度学习模型存在的脆弱性并运用

生成对抗网络，设计出一种新颖的光亮眼镜贴片样本，

能够成功欺骗基于卷积神经网络的人脸识别系统。通

过在收集的眼镜数据集上进行合成实验，并在Open-

Face,VGG等常用的人脸识别模型上验证了所提想法

的性能，并证明了现实世界中深度学习模型的脆弱性

依然不容忽视，设计有效的防御机制成为未来研究的

重点O

参考文献

[1]PapemotN,

McdanielP,SinhaA,stheSci­

enceofSecurityandPrivacyinMachineLearning[EB].

arXiv：1611.03814,2016.

[2]BarrenoM,NelsonB,JophAD,urityof

machinelearning[J].MachineLearning,2010,81(2):121

-148.

[3]PapemotN,McdanielP,JhaS,itationsof

DeepLearninginAdversarialSettings[C]//2016

IEEEEu­

ropean

SymposiumonSecurityandPrivacy(EuroS&P).

IEEE,2016：372-387.

[4]FeinmanR,Curtin

RR,ShintreS,ingAdversari­

alSamplesfromArtifacts[EB].arXiv：1703.00410,2017.

[5]KurakinA,GoodfellowI,

Bengio

S.

Adversarialexamplesin

thephysicalworld[EB].arXiv:1607.02533,2016.

[6]DongY,LiaoF,PangT,ngAdversarialAt­

tackswithMomentum[

EB]

.arXiv：1710.06081,2017.

[7]Tram^rF,KurakinA,PapemotN,leAdver­

sarialTraining：AttacksandDefens[EB].arXiv：1705.

07204,2017.

[8]CarliniN,sEvaluatingtheRobustnessof

NeuralNetworks[C]//2017IEEESymposiumonSecurity

andPrivacy(SP).IEEE,2017：39-57.

[9]PapemotN,McdanielP,erabilityin

MachineLearning:from

PhenomenatoBlack-BoxAttacks

usingAdversarialSamples[EB]

.arXiv:1605.07277,

2016.

[10]SzegedyC,ZarembaW,SutskeverI,uingprop­

ertiesofneuralnetworks[EB].arXiv:1312.

6199,2013.

[11]TramOrF,PapemotN,GoodfellowI,ceof

TransferableAdversarialExamples[EB].arXiv:1704.

03453,2017.

164

计算机应用与软件

2019年

[12]LiuY,Chen

X,

LiuC,gintoTransferableAd­

versarial

Examples

andBlack-boxAttacks[EB].arXiv:

1611.02770,2016.

[13]GoodfellowIJ,

ShlensJ,ningandHar

­

nessingAdversarialExamples[EB].arXiv：1412.6572,2014.

[14]KurakinA,GoodfellowI,arialMachine

Learningat

Scale[EB].arXiv：1611.01236,2016.

[15]BoerPTD,

KroeDP,MannorS,et

ialonthe

Cross-EntropyMethod

[J].AnnalsofOperationsRearch

,

2005,134（1）:19-67.

[16]MengD,:atwo-pronged

defenagainst

adversarialexamples[C]//Proceedingsofthe2017ACM

SIGSACConferenceonComputerandCommunicationsSecu­

,2017

：135-147.

[17]ParkhiOM,VedaldiA,ceRecogni­

tion[C]//BritishMachineVisionConference2015.

2015.

[18]HuangGB,RameshM,BergT,etal.

Labeledfacesinthe

wild:Adatabaforstudyingfacerecognitioninuncon­

strainedenvironments[R].TechnicalReport07-49,Uni­

versityofMassachutts,Amherst,October2007.

[19]AmosB,LudwiczukB,ce:A

general-purpo

facerecognitionlibrary

withmobileapplica

­

tions[R].Technicalreport,CMU-CS-16-118,CMU

School

ofComputerScience,2016.

（上接第79页）

IP地址、目的IP地址、源端口、目的端口）、平均包大

'小、包大小的标准差、数据流传输速率、包到达平均时

间间隔、包到达时间间隔的标准差、PSH标志数量、包

大小变化次数、下上行数据流总字节数之比。通过以

上信息可以清楚分辨数据流是在线视频或下载，并能

掌握数据流分类的有关特征信息。

3.3.2分类性能测试分析与比较

本部分主要分析本文测试时在线视频流量和下载

流量的分类性能并与文献[13]进行对比。

通过图9可见，在测试的10个网站中，视频与下

载流量综合分类准确率约为91.5%。有8个网站分

类准确率等于或高于85%,这8个网站中有5个网站

的分类准确率达到100%o所有测试网站中仅有2个

网站分类准确率偏低，一个为75%,另一个为80%。

经数据分析这2个网站的不同种类数据流特征信息非

常相似，导致分类应用产生了一定程度的误判。

同时与文献[13]中对于在线视频流量和下载流

量的分类性能进行对比分析。本文对于在线视频流量

和下载流量的分类相对于文献[13]有以下改进：

文献[13]中当数据包阈值为1000时，全局正确

率在85%左右且波动较大;阈值到达4000时,分类准

确率才能稳定在92%左右。但本文通过优化特征集

并结合SDN的架构优势,实现了在数据包数量阈值仅

为1500时，也可以将分类准确率稳定保持在91.5%

左右的效果。这样既能优化处理效率,又能保持较高

的分类准确率。

4结语

SDN控制层由于需要处理大量数据流，如何在处

理前对流量进行分类，以便在后续操作中减轻SDN控

制层处理压力，从而实现细粒度管控，已经成为SDN研

究的热点之一。本文设计的基于机器学习的SDN实时

流量分类应用可以实时、有效地区分在线视频流量和

下载流量。

今后的研究重点在于如何将分类结果应用

到SDN中实现细粒度的数据流量管控，进而优化QoS

o

参考文献

[I]许晨辉.面向QoS保证的软件定义网络资源管控技术研

究[D].南京:南京航空航天大学

,2016.

[2]蔡远俊.基于SDN和OpenFlow的流量分析系统的研究与

设计[D].北京:北京邮电大学,2015.

[3]许廷伟.一种基于SDN的流量管理系统设计与实现[J].

电脑知识与技术.2015,11(33):33-36.

[4]严骏驰.基于SDN的数据中心流量管理研究[D].北京：

北京邮电大学

,2016.

[5]房亚明.基于

SDN的数据中心网络流量调度技术研究

[D].合肥:安徽大学,2017.

[6]任燕凯.基于SDN的物联网智能流量管理机制的设计与

实现[D].北京:北京邮电大学,2016.

[7]程光,陈玉祥.基于支持向量机的加密流量识别方法[J].

东南大学学报(自然科学版)

,2017,47(4)：655-659.

■:8]吴辉.基于模糊K-Means的网络流分类系统研究与实现

[D].广州：广东工业大学.2016.

[9]ShafiqM,YuX,Wang

kTrafficClassification

UsingMachineLearningAlgorithms[C]//InternationalCon-

ferenceonIntelligentandInteractiveSystemsandApplica­

tions,2017：621-627.

[10]TapaswiS,-BadP2PNetworkTraffic

ClassificationUsingMachineLearning[

C]//International

ConferenceonCyber-enabledDistributedComputing&Knowl­

,2013

：

402-406.

[11]

BujlowT,RiazT,ficationofHTTP

trafficbadonC5.0MachineLearningAlgorithm[C]//

Proceedingsofthe2012IEEESymposiumonComputersand

Communications(ISCC).IEEE,2012：882-887.

[12]李贺•网络视频业务流的特征选择与识别研究[D].南

京:南京邮电大学,2016.

[13]赵小祥.基于特征选取的网络游戏与视频业务分类研究

[D].南京:南京邮电大学,2016.